セキュリティベンダーBeyondTrustが公開した年次レポート「Microsoft Vulnerabilities Report」第13版により、AzureとDynamics 365における重大(Critical)脆弱性の件数が、2024年のわずか4件から2025年には37件へと急増し、約9倍に達したことが明らかになった。象徴的な事例として、Microsoft Entra IDのトークン偽造に関する脆弱性(CVSSスコア10.0、深刻度最高)も報告されている。全体としては権限昇格(Elevation of Privilege、EoP)がMicrosoft製品を狙う脅威の中心を占めている。
重大脆弱性9倍増の中身
BeyondTrustのレポートは、Microsoftが年間で公表するセキュリティ更新プログラム(CVE)を集計・分析したもので、13年続くシリーズとして業界の指標のひとつになっている。今回とりわけ目を引くのが、AzureとDynamics 365における「Critical」評価の脆弱性の急増だ。1年で4件から37件という伸び方は、単なる誤差では説明がつかない規模であり、クラウド基盤とビジネスアプリケーション層の両方で攻撃対象領域(アタックサーフェス)が拡大していることを示している。
象徴的に取り上げられているEntra IDのトークン偽造脆弱性は、認証基盤そのものを標的にした問題だ。CVSS 10.0は「攻撃条件がほぼなく、影響が最大」という組み合わせを意味し、悪用されれば正規ユーザーになりすまして広範囲のリソースにアクセスされるおそれがある。
なぜAzureが焦点になるのか
レポートが強調するのは、AzureがCopilotやAIエージェントなどの「マシンアイデンティティ」を支える基盤層になっているという点だ。AIエージェントは人間よりも多くのサービス間通信・トークン発行・権限委譲を行うため、認証基盤に脆弱性があると、被害が一つのアカウントにとどまらず、エージェントが持つ権限の連鎖を通じて増幅されるリスクがある。EoP(権限昇格)が脅威の中心にあるという指摘も、この文脈で読むと理解しやすい。低い権限で侵入されても、昇格の穴があれば最終的に管理者権限まで到達し得るということだ。
実務への影響
日本企業の多くはMicrosoft Entra IDを認証基盤に、Dynamics 365を基幹業務システムに使っている。今回の急増は「うちはAzureとM365だから安心」という前提を一度見直す材料になる。具体的には次の点をチェックしたい。
- 常時アクセス権を洗い出す: 特権ロールが恒常的に付与されたままのアカウントがないか確認し、Just-In-Time(PIM等)でのタイムボックス化に切り替える
- Entra IDの条件付きアクセスとトークン保護: トークン窃取・偽造への対策(Continuous Access Evaluationやトークンバインディング)が有効になっているか点検する
- AIエージェント・サービスプリンシパルの棚卸し: Copilotや業務自動化で作られたマシンアイデンティティが増えている企業ほど、権限の可視化と定期棚卸しを怠らない
- パッチ適用の優先順位: Critical評価かつEoP系のCVEは、公開後すぐに適用できる体制を整えておく
筆者の見解
筆者はゼロトラスト推進派で、常時アクセス権の放置こそが特権アカウント管理における最大のリスクだと考えている立場から見ると、今回の数字は「やはりそこが甘くなりがちだ」という警鐘に聞こえる。EoPが脅威の中心にあるという結果は、ネットワーク層・認証層・認可層のうち認可層の設計が後手に回っている企業が多いことの裏返しでもあるだろう。
AzureとEntra IDをエージェントの管制塔として使う戦略自体は、長期的に見て正しい方向性だと考えている。ただ、その管制塔の足元でCritical脆弱性が1年で9倍に増えたという事実は、応援する立場として率直に苦言を呈したいところだ。プラットフォームとしての信頼を積み上げてきたからこそ、認証基盤の堅牢性は他社以上に厳しく問われる。ここで足を止めてもらっては困る、というのが正直な感想だ。
幸い、対策の方向性ははっきりしている。Just-In-Timeアクセス、条件付きアクセス、そしてマシンアイデンティティを含むNon-Human Identities(NHI)の管理を徹底することだ。特にNHIの管理が甘いと、結局は人間がボトルネックとなって自動化が進まない。AIエージェント活用が本格化するこれからこそ、Microsoftには認証基盤の足元をきっちり固めた上で、正面から評価される製品であってほしいと期待している。
出典: この記事は 2026 Microsoft Vulnerabilities Report: Critical Flaws Double as Elevation of Privilege Dominates the Cyber Threats の内容をもとに、筆者の見解を加えて独自に執筆したものです。